//
Eine praktische Anleitung für Personalvermittlungsagenturen und Inhouse-Recruiter: Erfahren Sie, wie lange Sie Bewerberdaten aufbewahren dürfen, wann eine Einwilligung nötig ist und welche Regeln Sie unbedingt beachten müssen. Inklusive aller Neuerungen des NVP-Bewerbungskodexes 2025.
Kurz & bündig
Die Datenschutzbehörde empfiehlt, Bewerberdaten innerhalb von 4 Wochen nach Abschluss des Verfahrens zu löschen. Mit der ausdrücklichen Einwilligung der Kandidaten dürfen Sie Daten für bis zu 1 Jahr speichern – ideal für Ihren Talentpool. Nach diesem Jahr müssen Sie die Einwilligung aktiv erneuern; eine stillschweigende Verlängerung ist nicht erlaubt. Für eingestellte Kandidaten gelten andere Regeln: Ihre Daten darf man aufgrund steuerlicher Aufbewahrungspflichten bis zu 7 Jahre nach dem Austritt aufbewahren.
Fazit: Die meisten Agenturen speichern Bewerberdaten länger als erlaubt – oft unbewusst. Ein clever eingerichtetes ATS mit automatischem Fristen-Tracking und Reaktivierungsprozessen löst dieses Problem komplett ohne manuellen Aufwand.
Warum dieser Artikel?
Aufbewahrungsfristen werden immer strenger kontrolliert. Die Datenschutzbehörden prüfen aktiv, und die Strafen können bis zu 4 % des Jahresumsatzes betragen. Gleichzeitig hält sich unter Recruitern hartnäckig der Irrglaube, dass „wir machen ja nur unseren Job“ als Rechtsgrundlage reicht, um Profile jahrelang zu speichern. Das ist ein Irrtum.
Hier erfahren Sie genau, welche Frist für welche Daten gilt, wie Sie die Einwilligung rechtssicher einholen und was sich durch den NVP-Bewerbungskodex 2025 ändert.
Was zählt alles zu den „Bewerberdaten“?
Viel mehr als die meisten Recruiter denken. Unter die DSGVO fallen sämtliche personenbezogenen Daten, die Sie im Rekrutierungsprozess sammeln:
Lebenslauf und Anschreiben
Gesprächsnotizen und Interview-Protokolle
Testergebnisse und Assessments
Hintergrund- und Referenzprüfungen
E-Mail-Verkehr und WhatsApp-Nachrichten mit dem Bewerber
LinkedIn-Profil-Infos, die Sie in Ihrem ATS speichern
Notizen im CRM oder ATS (auch handschriftliche)
Video-Interviews und Transkripte
Zwei häufige Fehler: WhatsApp-Nachrichten werden oft vergessen, weil sie außerhalb des ATS liegen. Und interne Notizen wie „zweifelt an der Motivation“ oder „will mehr Gehalt“ gelten fälschlicherweise oft als „eigene“ Daten. Das stimmt nicht. Auch sie unterliegen den Aufbewahrungsfristen und müssen auf Anfrage offengelegt werden.
Die drei Kernfristen
Frist 1: 4 Wochen (Standard)
Für abgelehnte Bewerber gilt: Innerhalb von 4 Wochen nach Abschluss des Verfahrens müssen alle Daten gelöscht oder anonymisiert werden. Das ist die gängige Praxisrichtlinie der Datenschutzbehörde. Die DSGVO selbst nennt zwar keine konkrete Anzahl an Tagen, verweist aber auf den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).
Wichtig: „Abschluss des Verfahrens“ bezieht sich auf den Moment der Absage an diesen konkreten Bewerber – nicht erst dann, wenn die Vacancy endgültig besetzt ist. Scheidet ein Kandidat bereits in Runde 2 aus, beginnt seine Frist sofort zu laufen.
Frist 2: 1 Jahr (mit Einwilligung)
Erteilt der Bewerber Ihnen die ausdrückliche Einwilligung zur längeren Speicherung, dürfen Sie die Daten für maximal 1 Jahr nach Abschluss des Verfahrens aufbewahren. Das ist das Fundament für Ihren Talentpool.
Diese vier Bedingungen müssen für eine gültige Einwilligung erfüllt sein:
Freiwilligkeit. Keine Bedingung für die Bewerbung. Ein Kandidat muss ohne Nachteile ablehnen können.
Zweckbindung. „Für weitere Stellenangebote unserer Agentur“ ist zulässig, „für Marketing und alle anderen Zwecke“ ist es nicht.
Transparenz. Der Bewerber muss genau wissen, welche Daten wie lange und wofür gespeichert werden.
Nachweisbarkeit. Sie müssen die Einwilligung belegen können. Ein Häkchen im Online-Formular inklusive Timestamp und IP-Log reicht aus, eine mündliche Zusage nicht.
Frist 3: 7 Jahre (bei Einstellung)
Für eingestellte Mitarbeiter gelten andere Spielregeln. Aufgrund steuer- und handelsrechtlicher Vorgaben müssen steuerrelevante Daten (Gehaltsdaten, Identitätsnachweise, Verträge) bis zu 7 Jahre nach dem Austritt aufbewahrt werden. Für sonstige Personalakten gelten kürzere Fristen, meistens 2 Jahre.
Was ändert sich mit dem NVP-Bewerbungskodex 2025?
Die niederländische Vereinigung für Personalmanagement & Organisationsentwicklung hat im September 2025 einen aktualisierten Bewerbungskodex veröffentlicht. Dieser ist zwar kein formelles Gesetz, dient Gerichten und Datenschutzbehörden jedoch als Maßstab für sorgfältiges Handeln.
Drei wichtige Änderungen für Ihre Aufbewahrungsfristen:
Einwilligung aktiv erneuern. Nach 1 Jahr müssen Sie den Kandidaten aktiv fragen, ob er im Pool bleiben möchte. Eine automatische Verlängerung ist unzulässig. Antwortet der Kandidat nicht, müssen die Daten gelöscht werden.
Regeln für die KI-Nutzung. Nutzen Sie KI für Vorauswahl, Ranking oder Matching, müssen Sie den Kandidaten darüber informieren. Das betrifft auch die Speicherung: KI-Analysen (Scores, Rankings) sind personenbezogene Daten und unterliegen denselben Fristen.
Gehaltstransparenz. Zwar kein direktes Speicherproblem, aber wichtig für Ihren Ablauf: Gehaltsangaben gehören ab jetzt direkt in den Stellentext.
Reaktivierung: So fragen Sie richtig nach
Das Ende des Speicherjahres ist die größte Stolperfalle für Agenturen. Nutzen Sie diese drei Praxiswege:
Option A: Automatisierte Mail-Anfrage. Eine Woche vor Fristablauf erhält der Kandidat eine klare E-Mail mit zwei Buttons („Ja, Daten ein weiteres Jahr speichern“ oder „Nein, Daten löschen“). Die Entscheidung wird mit Zeitstempel im System dokumentiert.
Option B: Kandidatenportal. Bewerber loggen sich selbst ein und verwalten ihre Daten und Speicherfristen eigenständig. Ideal für Agenturen, die bereits ein Portal nutzen.
Option C: Persönlicher Kontakt. Bei echten Top-Talenten lohnt sich der Griff zum Telefon oder eine persönliche Mail. Vergessen Sie nicht, die Zusage danach schriftlich im System zu erfassen.
Moderne ATS-Systeme (wie Bullhorn, Ubeeo oder innovative Automatisierungen von Spadework) erledigen diesen gesamten Prozess – inklusive der Löschung bei Nicht-Reaktion – vollautomatisch im Hintergrund.
Aufbewahrungsfristen im schnellen Überblick
Datentyp | Aufbewahrungsfrist | Bedingung |
|---|---|---|
Lebenslauf & Anschreiben (abgelehnt) | 4 Wochen | Keine |
Lebenslauf & Anschreiben (Talentpool) | 1 Jahr | Ausdrückliche Einwilligung |
Gesprächsnotizen (abgelehnt) | 4 Wochen | Keine |
Assessment-Testergebnisse | 4 Wochen | Keine, unabhängig vom Ergebnis |
Referenzprüfungen | 4 Wochen | Keine |
E-Mails & WhatsApp (abgelehnt) | 4 Wochen | Keine |
Identitätsnachweis (eingestellt) | 5 Jahre nach Austritt | Arbeitgeberpflicht |
Gehalts- und Lohndaten (eingestellt) | 7 Jahre nach Austritt | Steuerrechtliche Pflicht |
Allg. Personalaktendaten | 2 Jahre nach Austritt | Arbeitgeberpflicht |
Bewerberdaten im öffentlichen Dienst | 1 Monat (abgelehnt) / 1 Jahr (Talentpool) | Mit Einwilligung für den Talentpool |
Welche Risiken drohen bei Verstößen?
Drei Level von Ärger, den Sie vermeiden sollten:
Beschwerde durch Bewerber. Kandidaten können Auskunftsbegehren stellen (Art. 15 DSGVO). Sie müssen dann innerhalb von 4 Wochen alle über sie gespeicherten Daten (inklusive aller Notizen und E-Mails) vollständig vorlegen.
Bußgelder der Behörden. Bis zu 4 % des globalen Jahresumsatzes oder 20 Millionen Euro. In der Praxis verhängen Behörden bei mittelschweren Verstößen rasch Summen zwischen 50.000 und 500.000 Euro.
Reputationsschaden. Datenschutzpannen sprechen sich auf LinkedIn und Kununu schnell herum. Wer hier patzt, verliert wertvolle Bewerber und Kunden.
Häufig gestellte Fragen (FAQ)
Darf ich Kandidaten ohne Einwilligung als „Zukunftskontakt“ im System behalten?
Nein. Ohne explizite Einwilligung müssen Sie alle Daten nach 4 Wochen löschen. Ein vager „Zukunftskontakt“ ist kein gültiger Rechtsgrund.
Was gilt, wenn sich ein Kandidat über LinkedIn bewirbt und ich sein Profil speichere?
Das Anschauen ist erlaubt. Sobald Sie das Profil im ATS speichern, greift die DSGVO: 4 Wochen Frist bei einer Absage, 1 Jahr nur mit aktiver Einwilligung.
Was bedeutet „anonymisieren“ ganz genau?
Dass die Daten keiner Person mehr zugeordnet werden können. Name, Kontaktdaten, Fotos und alle Details müssen gelöscht werden. Reine Statistikdaten (z. B. „200 Bewerbungen im März“) dürfen Sie behalten. Achtung: Pseudonymisierung (Nutzer-IDs statt Namen mit Schlüsseldatei im Hintergrund) ist keine Anonymisierung!
Gilt die 4-Wochen-Frist auch bei Initiativbewerbungen?
Ja. Sobald Sie dem Bewerber mitteilen, dass aktuell keine passende Stelle frei ist, gilt das Verfahren als abgeschlossen und die 4-Wochen-Frist beginnt.
Was mache ich mit gesourcten Profilen, die sich noch nicht beworben haben?
Sourcing auf Plattformen ist erlaubt, das dauerhafte Speichern ungefragt im ATS nicht. Unser Tipp: Notieren Sie Kontaktdaten kurzzeitig auf einer Sourcing-Liste, sprechen Sie das Talent an und übertragen Sie die Daten erst ins ATS, sobald der Kandidat zustimmt.
Was muss bei einer ATS-Datenmigration beachtet werden?
Der Import alter Daten gilt rechtlich als neue Verarbeitung. Sie dürfen nur Daten migrieren, für die eine gültige Einwilligung oder Aufbewahrungsfrist vorliegt. Nutzen Sie einen Systemwechsel daher idealerweise sofort für einen gründlichen Daten-Frühjahrsputz!
Quellen
Datenschutzbehörde, Leitfaden für Personalbeschaffung und Auswahl (autoriteitpersoonsgegevens.nl, 2024-2025)
DSGVO Artikel 5, 6 und 15 (Offizieller Text via wetten.overheid.nl)
NVP-Bewerbungskodex 2025, veröffentlicht im September 2025
Finanzamt, Aufbewahrungspflichten für Arbeitgeber (belastingdienst.nl)
Bullhorn NL, DSGVO-Praxisleitfaden Recruiting 2024-2025
Recruitmenttraining.pro, Aufbewahrungsfristen Bewerberdaten 2026
Randstad, DSGVO-Richtlinien für das Bewerbungsverfahren
DSGVO-Register Behörden, Personal & Rekrutierung
